Zombie ZIP: nowa technika ukrywania malware w archiwach ZIP omija narzędzia bezpieczeństwa - Security Bez Tabu

Zombie ZIP: nowa technika ukrywania malware w archiwach ZIP omija narzędzia bezpieczeństwa

Cybersecurity news

Wprowadzenie do problemu / definicja

Zombie ZIP to nowo opisana technika omijania zabezpieczeń, która wykorzystuje celowo zniekształcone archiwa ZIP do ukrywania złośliwego ładunku przed systemami antywirusowymi, EDR i innymi mechanizmami analizy plików. Sedno problemu polega na rozbieżności między tym, co deklarują nagłówki archiwum, a tym, jak faktycznie zapisane są dane wewnątrz pliku.

W praktyce oznacza to, że narzędzie ochronne może analizować zawartość inaczej niż niestandardowy loader używany przez atakującego. Taka niespójność interpretacyjna pozwala przemycić malware przez część kontroli bezpieczeństwa bez wzbudzania alarmu.

W skrócie

Technika Zombie ZIP bazuje na manipulacji polem określającym metodę kompresji w strukturze ZIP. Silnik bezpieczeństwa może uznać, że ma do czynienia z danymi nieskompresowanymi, choć w rzeczywistości payload pozostaje skompresowany algorytmem Deflate.

  • Skaner analizuje dane w błędny sposób i nie widzi rzeczywistego ładunku.
  • Popularne programy do rozpakowywania mogą zgłaszać uszkodzenie archiwum.
  • Atakujący może użyć własnego loadera do poprawnego odzyskania i uruchomienia payloadu.
  • Problem otrzymał identyfikator CVE-2026-0866.

Kontekst / historia

Technika została nagłośniona w marcu 2026 roku przez badacza bezpieczeństwa Chrisa Aziza z Bombadil Systems. Według opublikowanych informacji rozwiązanie skutecznie omijało znaczną część testowanych silników bezpieczeństwa w środowisku wielosilnikowym, co zwróciło uwagę branży na podatność parserów archiwów.

Sprawę dodatkowo opisał CERT Coordination Center, wskazując ryzyko związane z niepoprawnie sformatowanymi plikami ZIP. Problem wpisuje się w dłuższą historię błędnej interpretacji archiwów przez oprogramowanie bezpieczeństwa i nawiązuje do starszych przypadków, w których różne komponenty odczytywały ten sam plik w odmienny sposób.

Analiza techniczna

Format ZIP przechowuje w nagłówkach informacje o metodzie kompresji, sumach kontrolnych i strukturze danych. W scenariuszu Zombie ZIP atakujący ustawia metadane tak, aby wskazywały jeden sposób obsługi pliku, podczas gdy rzeczywista zawartość odpowiada innemu schematowi. Jeśli produkt ochronny bezkrytycznie zaufa polom w nagłówku, może skanować nie to, co powinien.

Kluczowy mechanizm polega na tym, że skaner interpretuje skompresowany strumień jako dane nieskompresowane. W efekcie zamiast widocznego pliku wykonywalnego, skryptu lub dokumentu z makrem otrzymuje ciąg pozornie losowych bajtów, który nie pasuje do znanych sygnatur ani prostych reguł statycznych.

Dodatkowym elementem może być manipulacja wartością CRC. Taka niespójność często powoduje, że klasyczne narzędzia do rozpakowywania traktują archiwum jako uszkodzone lub błędne. Dla analityka i użytkownika plik wygląda więc na wadliwy, jednak kontrolowany przez atakującego loader może zignorować niektóre deklaracje i samodzielnie wymusić właściwą dekompresję danych.

To klasyczny przykład zjawiska parser differential, czyli sytuacji, w której dwa różne komponenty odczytują ten sam plik na dwa różne sposoby. W cyberbezpieczeństwie takie rozbieżności są wyjątkowo niebezpieczne, ponieważ umożliwiają ukrycie malware przed bramkami pocztowymi, sandboxami, systemami DLP, AV i EDR.

  • Nagłówek deklaruje jedną metodę kompresji.
  • Silnik ochronny ufa tej deklaracji i skanuje dane błędnie.
  • Loader atakującego odczytuje faktyczny format i odzyskuje poprawny payload.

Konsekwencje / ryzyko

Największe ryzyko dotyczy środowisk, które intensywnie polegają na automatycznym skanowaniu archiwów przesyłanych pocztą elektroniczną, pobieranych z Internetu, wymienianych przez komunikatory lub przechowywanych w usługach chmurowych. Jeśli mechanizm ochronny nie waliduje spójności struktury ZIP, złośliwy plik może zostać błędnie uznany za nieszkodliwy albo po prostu uszkodzony.

W praktyce enterprise technika może zwiększyć skuteczność kampanii phishingowych i etapów initial access. Atakujący zyskuje możliwość dostarczenia loadera lub droppera z pominięciem części bramek bezpieczeństwa, a zespoły SOC oraz analitycy malware mogą mieć utrudnioną analizę próbki.

  • obejście skanowania załączników i repozytoriów plików,
  • utrudnienie pracy systemów sandbox i automatycznej analizy,
  • zwiększenie skuteczności dostarczania malware w archiwach,
  • obniżenie wykrywalności przy uproszczonej inspekcji formatów plików.

Rekomendacje

Organizacje powinny założyć, że archiwum ZIP może zawierać celowo zafałszowane metadane i nie może być oceniane wyłącznie na podstawie deklaracji zapisanych w nagłówku. Kluczowe jest wdrożenie walidacji spójności pliku oraz traktowanie uszkodzonych archiwów jako potencjalnego sygnału ostrzegawczego, a nie dowodu na brak zagrożenia.

  • aktualizować silniki AV, EDR, bramki pocztowe i sandboxy do wersji zawierających poprawki parserów archiwów,
  • wymuszać sprawdzanie zgodności między deklarowaną metodą kompresji a rzeczywistą strukturą danych,
  • kierować do kwarantanny archiwa zgłaszające błędy CRC, unsupported method lub inne anomalie formatu,
  • rozszerzyć detekcję o heurystyki wykrywające niespójności w nagłówkach ZIP,
  • stosować wielowarstwową analizę zamiast polegać na jednym parserze lub jednym silniku skanującym,
  • testować własny stos bezpieczeństwa na próbkach proof-of-concept,
  • szkolić użytkowników, aby nie ufali archiwom od nieznanych nadawców, zwłaszcza jeśli ich otwarcie kończy się nietypowym błędem.

Podsumowanie

Zombie ZIP pokazuje, że skuteczne unikanie detekcji nie zawsze wymaga złożonych exploit chainów ani klasycznych luk zero-day. Czasem wystarczy wykorzystać różnice w interpretacji tego samego formatu pliku przez różne komponenty bezpieczeństwa.

Dla obrońców to wyraźny sygnał, że analiza archiwów powinna obejmować nie tylko sam payload, ale także integralność i spójność całego kontenera. Walidacja metadanych, wykrywanie anomalii parserów oraz ostrożne podejście do uszkodzonych archiwów stają się kluczowe w ochronie przed nowoczesnymi technikami omijania zabezpieczeń.

Źródła

  1. BleepingComputer – New 'Zombie ZIP’ technique lets malware slip past security tools — https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/
  2. CERT/CC Vulnerability Note VU#894429 — https://kb.cert.org/vuls/id/894429
  3. CVE Program – CVE-2026-0866 — https://www.cve.org/CVERecord?id=CVE-2026-0866